É possível combinar políticas de identidade e políticas de identidade preventivas para atender aos requisitos de segregação de tarefas. Nesse caso, as políticas de identidade resolvem as violações de segregação de tarefas existentes e as políticas de identidade preventivas proíbem novas violações.
Para oferecer suporte a esse caso de uso, você pode configurar um conjunto de políticas de identidade com dois tipos de ação:
Essas ações resultam em alterações nos atributos de usuário, integrantes, administradores e proprietários de grupos e funções. Por exemplo, uma ação desse tipo pode remover um usuário de uma função quando uma violação for detectada.
Essas ações são diferentes das ações preventivas, pois não são aplicadas quando uma tarefa é enviada. São aplicadas somente durante a sincronização de usuário.
Essas ações determinam o que o CA Identity Manager faz quando ocorre uma violação da política de identidade preventiva antes que uma tarefa seja enviada. O CA Identity Manager pode permitir o envio da tarefa, emitir um aviso e acionar um processo de fluxo de trabalho, ou impedir o envio da tarefa.
Em cada um desses casos, a violação é registrada no banco de dados de auditoria.
Considere uma empresa que queira impedir que os usuários tenham as funções de Administrador de RH e Aprovador de salários ao mesmo tempo. Essa empresa cria uma política de identidade com duas ações Ação ao aplicar a política:
Essa ação ocorre quando o CA Identity Manager sincroniza os usuários com as políticas de identidade.
Nesse caso, essa empresa configurou a sincronização de usuário para a tarefa Modificar usuário. Quando um administrador modifica um usuário, o CA Identity Manager avalia todas as políticas de identidade aplicáveis e aplica as ações. Nesse exemplo, o CA Identity Manager remove os usuários com as funções de Administrador de RH e Aprovador de salários da função de Aprovador de salários.
Essa ação preventiva proíbe os administradores de atribuir essas duas funções a uma pessoa, não permitindo que o administrador envie a tarefa.
Observação: ao configurar uma política de identidade com esses dois tipos de ação, verifique se as ações não entram em conflito. Por exemplo, você pode configurar uma política de identidade que impede que os usuários tenham as funções de gerente e prestador de serviço. Na política, você especifica duas ações:
Um aprovador aprova a atribuição de função para as funções de gerente e prestador de serviço, mas a segunda ação remove o usuário da função de gerente quando a sincronização de usuário ocorre.
|
Copyright © 2014 CA.
Todos os direitos reservados.
|
|